Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: PeBo 31. 07. 2012, 09:01:38

Název: Linux IPsec - více SA pro stejnou protistranu
Přispěvatel: PeBo 31. 07. 2012, 09:01:38

Problém je následující: mám několik IPsec policy (s různým rozsahem adres, protokolem, apod.), které definují různé virtuální sítě, ovšem které vedou na stejný fyzický transport, tedy na stejný pár IP adres. Normálně použijí všechny tyto sítě stejné SA (to, které se použije, je vybráno podle IP adres). Potřeboval bych, aby bylo možné určit více SA (s různými parametry, např. klíči) pro stejný pár IP adres a příslušné SA by bylo vybráno třeba podle SPI (nebo nějakým jiným způsobem podle příslušné policy).

Existuje řešení tohoto problému?

Název: Re:Linux IPsec - více SA pro stejnou protistranu
Přispěvatel: PCnity 31. 07. 2012, 09:15:54

Hello,

Pokial pouzivas OpenSwan/StrongSwan, pouzi miesto len klasickych left=x.x.x.x a right=y.y.y.y este aj leftid=@idxxx a ricghtid=@idyyy Tak isto pridefinovani x509 alebo PSK pouzijes mena a nie IP adresy.

Aj ked v tom neveidim zmysel, mozes mat medzi dvoma hostami viacero SA a idetifikuju sa podla mien ktore mozu byt uplne vymyslene.

Normalne by bestpractice odporucal pouzit hostname, nie je to vsak vobec podmienka. Moze to byt @mickeymouse1 napriklad :)

Název: Re:Linux IPsec - více SA pro stejnou protistranu
Přispěvatel: PCnity 31. 07. 2012, 09:20:20

conn XXXX
        rightid=@PrveID
        right=IP
        rightsubnet=Subnet
        leftid=@InyNazov
        left=IP
        leftsubnet=Subnet
        pfs=yes
        esp=aes256-sha1
        ike=aes256-sha1-modp2048!
        authby=secret
        keyingtries=0
        keylife=8640s
        ikelifetime=10000s
        disablearrivalcheck=no
        auto=start

a potom definujes podla toho PSK:

@PrveID   @InyNazov   : PSK "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

Název: Re:Linux IPsec - více SA pro stejnou protistranu
Přispěvatel: PeBo 31. 07. 2012, 09:25:54

Citace: PCnity  31. 07. 2012, 09:15:54

Hello,

Pokial pouzivas OpenSwan/StrongSwan, pouzi miesto len klasickych left=x.x.x.x a right=y.y.y.y este aj leftid=@idxxx a ricghtid=@idyyy Tak isto pridefinovani x509 alebo PSK pouzijes mena a nie IP adresy.

Díky za odpověď. O to tady ale nejde. Identifikace stran v IKE je něco jiného. Já se ptám, zda jádro danou věc podporuje (nebo ev. zda ji může nějak podporovat). Výběr příslušného SA dělá jádro při routování, jakékoli IKE "pouze" připravuje půdu pro tento výběr.

Název: Re:Linux IPsec - více SA pro stejnou protistranu
Přispěvatel: PCnity 31. 07. 2012, 09:48:55

A ako vizera ten setup teraz? Ak som spravne pochopil dotaz, ide len o to mat pre rovanky par IP adries viacero SA. Cize hoci aj ine PSK, ine P1 parametre, etc... V com je problem?